Windows: bug del kernel sfruttato per ottenere privilegi di sistema

La CISA (agenzia di sicurezza informatica statunitense) ha avvisato le agenzie federali degli Stati Uniti di proteggere i propri sistemi dagli attacchi in corso che prendono di mira una vulnerabilità del kernel di Windows ad alta gravità. Tracciata come CVE-2024-35250, questa falla di sicurezza è dovuta a una vulnerabilità di dereferenziazione del puntatore non attendibile. In particolare, il bug consente agli aggressori locali di ottenere privilegi di sistema in attacchi di bassa complessità che non richiedono l'interazione dell'utente. Microsoft non ha condiviso ulteriori dettagli nell'avviso di sicurezza pubblicato a giugno. Tuttavia, il Devcore Research Team, che ha trovato la falla e l'ha segnalata a Microsoft, afferma che il componente di sistema vulnerabile è Microsoft Kernel Streaming Service (MSKSSRV.SYS).

I ricercatori di sicurezza di Devcore hanno utilizzato questa falla di sicurezza di escalation dei privilegi MSKSSRV per compromettere un sistema Windows 11 completamente patchato. Il test è avvenuto il primo giorno del concorso di hacking Pwn2Own Vancouver 2024 di quest'anno. Redmond ha corretto il bug durante il Patch Tuesday di giugno 2024, con il codice exploit proof-of-concept rilasciato su GitHub quattro mesi dopo. Come affermato dall’azienda in un avviso di sicurezza: "Un aggressore che sfruttasse con successo questa vulnerabilità potrebbe ottenere privilegi di sistema". Tuttavia, tale avviso deve ancora essere aggiornato per indicare che la vulnerabilità è sotto sfruttamento attivo.

Windows: sfruttata attivamente anche la vulnerabilità Adobe ColdFusion

Nelle scorse ore, la CISA ha anche aggiunto una vulnerabilità critica di Adobe ColdFusion (tracciata come CVE-2024-20767), che Adobe ha patchato a marzo. Da allora, sono stati pubblicati online diversi exploit proof-of-concept. CVE-2024-20767 è dovuto a una debolezza di controllo degli accessi impropria che consente ad aggressori remoti non autenticati di leggere il sistema e altri file sensibili. Secondo SecureLayer7, lo sfruttamento riuscito dei server ColdFusion con il pannello di amministrazione esposto online può anche consentire agli aggressori di aggirare le misure di sicurezza ed eseguire scritture arbitrarie del file system. Il motore di ricerca Fofa traccia oltre 145.000 server ColdFusion esposti a Internet. Tuttavia, è impossibile individuare quelli esatti con pannelli di amministrazione accessibili da remoto.

La CISA ha aggiunto entrambe le vulnerabilità al suo catalogo Known Exploited Vulnerabilities, contrassegnandole come attivamente sfruttate. Come imposto dalla Binding Operational Directive (BOD), le agenzie federali devono proteggere le loro reti entro tre settimane dal 6 gennaio. Il catalogo KEV di CISA avvisa principalmente le agenzie federali sui bug di sicurezza che dovrebbero essere corretti il ​​prima possibile. Tuttavia, si consiglia anche alle organizzazioni private di dare priorità alla mitigazione di queste vulnerabilità per bloccare gli attacchi in corso.